Reino: Security Features
La seguridad de un software no es un software de seguridad. Nos preocupamos de cuestiones como la autenticación, el control de acceso, la confidencialidad, la criptografía y la gestión de privilegios.
Django Bad Practices: Cookie Stored Sessions
Abstract
Las sesiones basadas en cookies no se invalidan cuando un usuario cierra la sesión. Si un usuario malintencionado encontrara, robara o interceptara la cookie de un usuario, podría suplantar al usuario incluso si ese usuario ha cerrado la sesión.
Explanation
El almacenamiento de datos de sesión en cookies presenta varios problemas:
1. Las sesiones basadas en cookies no se invalidan cuando un usuario cierra la sesión. Si un usuario malintencionado encontrara, robara o interceptara la cookie de un usuario, podría suplantar al usuario incluso si ese usuario ha cerrado la sesión.
2. Las cookies de sesión se firman para evitar manipulaciones y garantizan la autenticidad de los datos, pero no evitarán ataques de reproducción.
3. Los datos de sesión se almacenarán a través de las herramientas de Django para firma criptográfica y la configuración
4. Los datos de sesión se firman pero no se cifran. Esto significa que los usuarios malintencionados podrán leer los datos de sesión pero no modificarlos.
5. El proceso de serialización y el tamaño de cookie pueden suponer un problema de rendimiento en función de la carga del sitio.
1. Las sesiones basadas en cookies no se invalidan cuando un usuario cierra la sesión. Si un usuario malintencionado encontrara, robara o interceptara la cookie de un usuario, podría suplantar al usuario incluso si ese usuario ha cerrado la sesión.
2. Las cookies de sesión se firman para evitar manipulaciones y garantizan la autenticidad de los datos, pero no evitarán ataques de reproducción.
3. Los datos de sesión se almacenarán a través de las herramientas de Django para firma criptográfica y la configuración
SECRET_KEY. Si la configuración SECRET_KEY se filtra, un usuario malintencionado no solo puede falsificar los datos de sesión, sino que además, si la aplicación utiliza una subclase para serializar los datos de sesión en cookies, un usuario malintencionado podrá diseñar datos de subclase malintencionados que ejecutarán código arbitrario en el momento de deserialización.4. Los datos de sesión se firman pero no se cifran. Esto significa que los usuarios malintencionados podrán leer los datos de sesión pero no modificarlos.
5. El proceso de serialización y el tamaño de cookie pueden suponer un problema de rendimiento en función de la carga del sitio.
References
[1] Django Foundation Using cookie-based sessions
[2] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001185
[3] Standards Mapping - General Data Protection Regulation (GDPR) Access Violation
[4] Standards Mapping - NIST Special Publication 800-53 Revision 4 AU-10 Non-Repudiation (P2), SC-23 Session Authenticity (P1)
[5] Standards Mapping - NIST Special Publication 800-53 Revision 5 AU-10 Non-Repudiation, SC-23 Session Authenticity
[6] Standards Mapping - OWASP API 2023 API5 Broken Function Level Authorization
[7] Standards Mapping - OWASP Mobile 2024 M8 Security Misconfiguration
[8] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002240 CAT I
[9] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002240 CAT I
[10] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002240 CAT I
[11] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002240 CAT I
[12] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002240 CAT I
[13] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002240 CAT I
[14] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002240 CAT I
[15] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002240 CAT I
[16] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002240 CAT I
[17] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002240 CAT I
[18] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002240 CAT I
[19] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002240 CAT I
[20] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002240 CAT I
[21] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-000590 CAT II, APSC-DV-002240 CAT I
[22] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-000590 CAT II, APSC-DV-002240 CAT I
[23] Standards Mapping - Web Application Security Consortium Version 2.00 Application Misconfiguration (WASC-15)
desc.structural.python.django_bad_practices_cookie_stored_sessions